JP2006025002A - Sip communication control apparatus for carrying out fw control and fw control method thereof - Google Patents

Sip communication control apparatus for carrying out fw control and fw control method thereof Download PDF

Info

Publication number
JP2006025002A
JP2006025002A JP2004199275A JP2004199275A JP2006025002A JP 2006025002 A JP2006025002 A JP 2006025002A JP 2004199275 A JP2004199275 A JP 2004199275A JP 2004199275 A JP2004199275 A JP 2004199275A JP 2006025002 A JP2006025002 A JP 2006025002A
Authority
JP
Japan
Prior art keywords
global
address
port number
network
private
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004199275A
Other languages
Japanese (ja)
Other versions
JP4372629B2 (en
Inventor
Junichiro Kuroki
純一郎 黒木
Kazuhito Hayashi
和仁 林
Takao Shibata
高穂 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004199275A priority Critical patent/JP4372629B2/en
Publication of JP2006025002A publication Critical patent/JP2006025002A/en
Application granted granted Critical
Publication of JP4372629B2 publication Critical patent/JP4372629B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technology for carrying out SIP communication with higher security and saving resources of a NAT/FW apparatus required for opening a pin hole. <P>SOLUTION: A SIP communication apparatus 10 compares "a Global IP address and a Global port number" after conversion acquired when a message passes from a Private network through a Global network with "a Global IP address and a Global port number" acquired when a message passes from the Global network through the Private network. When they are not identical to each other, the apparatus 10 registers "the Global IP address and the Global port number" to a database 110 as a set of the IP address and the port number used for media transmission/reception. When they are identical to each other, the apparatus 10 does not register them to the database 110. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、アドレス体系の異なるネットワーク間においてNAT/FW(Network Address Translation/Fire Wall)装置と連携してSIP(Session Initiation Protocol)メッセージ内のIPアドレス変換と、FW(Fire Wall)を介してメディア送受信を行うため、ピンホールを登録することでFW制御を行うSIP通信制御装置およびそのFW制御方法に関する。   In the present invention, between networks having different address systems, in cooperation with a NAT / FW (Network Address Translation / Fire Wall) device, IP address conversion in a SIP (Session Initiation Protocol) message and media via FW (Fire Wall) The present invention relates to a SIP communication control apparatus that performs FW control by registering a pinhole for transmission and reception, and a FW control method thereof.

SIPはアプリケーションレイヤにもIPアドレス情報が記載されるため、Global IPアドレス、Private IPアドレスなどアドレス体系の異なるネットワーク間においてSIP通信を行うためには、NAT装置により行われるネットワークレイヤのアドレス変換に加えて、SIPメッセージ内のアドレス変換を行う必要がある。その方法の一つとして、ALG(Application Level Gateway)装置がNAT装置と連携することによりSIPメッセージ内のアドレス変換を行なう方法が一般的に知られている。この方法を実現するためには、ALG装置およびNAT装置で「Privateアドレス」と「変換後Globalアドレス」を効率良く管理する必要があるが、その詳細技術については非特許文献1「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるアドレス変換エントリの管理方式に関する一考察」において紹介されている。   In SIP, since IP address information is also described in the application layer, in order to perform SIP communication between networks having different address systems such as a global IP address and a private IP address, in addition to the network layer address conversion performed by the NAT device. Thus, it is necessary to perform address conversion in the SIP message. As one of the methods, there is generally known a method in which an ALG (Application Level Gateway) device performs address conversion in a SIP message by cooperating with a NAT device. In order to realize this method, it is necessary to efficiently manage the “Private address” and the “Global address after conversion” in the ALG device and the NAT device. (SIP-ALG) “Consideration on Address Translation Entry Management System”.

また、FW装置を介してSIP通信を行う場合、RTP(Real-time Transport Protocol)を用いて行われるメディア通信については端末が任意に設定するPort番号を用いて通信を行うため、FWの通過が不可能となる。この問題を解決する一つの方法として、SIPメッセージのSDP(Session Description Protocol)部分を解析し、端末がRTPの送受信に用いるIPアドレス、Port番号のみを一時的に通過可能とするように、NAT/FW装置を動的に制御するピンホール制御方式が一般的である。ここで、FW装置は通常NAT機能も同時に動作させるケースが多いため、NAT/FW装置に対してALG装置からピンホールの制御をする詳細技術について非特許文献2「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるファイアウォール制御方式に関する一検討」において紹介されている。   In addition, when performing SIP communication via an FW device, media communication performed using RTP (Real-time Transport Protocol) is performed using a port number arbitrarily set by the terminal. It becomes impossible. One method for solving this problem is to analyze the SDP (Session Description Protocol) portion of the SIP message, so that the terminal can temporarily pass only the IP address and Port number used for RTP transmission / reception. A pinhole control system that dynamically controls the FW device is common. Here, since the FW device usually operates the NAT function at the same time, a detailed technique for controlling pinholes from the ALG device to the NAT / FW device is described in Non-Patent Document 2 “SIP Application Level Gateway (SIP-ALG ) A study on firewall control method in ”.

林和仁、柴田高穂、諏訪裕一、小幡洋昭、黒木純一郎、「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるアドレス変換エントリの管理方式に関する一考察」、電子情報通信学会技術研究報告、vol.102、No.512、NS2002−188、p.25−28、Dec.2002Kazuhito Hayashi, Takaho Shibata, Yuichi Suwa, Hiroaki Kosuge, Junichiro Kuroki, “A Study on Management Method of Address Translation Entries in SIP Application Level Gateway (SIP-ALG)”, IEICE Technical Report, vol. 102, no. 512, NS2002-188, p. 25-28, Dec. 2002 黒木純一郎、林和仁、諏訪裕一、柴田高穂、「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるファイアウォール制御方式に関する一検討」、電子情報通信学会技術研究報告、vol.102、No.691、NS2002−248、p.105−108、Mar.2003Junichiro Kuroki, Kazuhito Hayashi, Yuichi Suwa, Takaho Shibata, “A Study on Firewall Control Method in SIP Application Level Gateway (SIP-ALG)”, IEICE Technical Report, vol. 102, no. 691, NS2002-248, p. 105-108, Mar. 2003

しかし、非特許文献1「SIPアプリケーションレベルゲートウェイ(SIP−ALG)におけるファイアウォール制御方式に関する一検討」において紹介されているような従来の方法では、ALG装置は特に接続の形態(送受信端末の位置関係)まで意識してピンホール制御を行なっているわけではない。例えば、Globalネットワークに配備されたSIP Serverを経由して同一のPrivate側ネットワーク内の2端末で通信を行なう場合、すなわちSIPシグナリングがPrivateからGlobalの方向でNAT/FW装置を経由してSIP Serverに到達し、その後GlobalからPrivateの方向へ同一のNAT/FW装置を経由して折り返す場合、ALG装置は接続の形態を意識しているわけではないため、NAT/FW装置に対してピンホールの登録を行なってしまう。しかし、同一ネットワーク内の通信であるため、SIP Serverを介する必要のない音声、映像のメディアについてはPrivate側のネットワーク内でルーティングされることとなり、その結果として不要なピンホールを登録してしまうこととなってしまい、セキュリティ上の懸念がある。本発明の目的は、よりセキュリティの高いSIP通信を可能とすると共に、ピンホールを開放するために必要となるNAT/FW装置のリソースを節約することを可能とする技術を提供することにある。   However, in the conventional method as introduced in Non-Patent Document 1 “Study on Firewall Control Method in SIP Application Level Gateway (SIP-ALG)”, the ALG device particularly has a connection form (positional relationship between transmitting and receiving terminals). The pinhole control is not done consciously. For example, when communication is performed between two terminals in the same private network via a SIP server deployed in the global network, that is, SIP signaling is directed from the private to the global via the NAT / FW device to the SIP server. If it arrives and then turns back in the direction from Global to Private via the same NAT / FW device, the ALG device is not aware of the connection form, so the pinhole registration with the NAT / FW device Will be done. However, since the communication is within the same network, audio and video media that do not need to go through the SIP Server will be routed within the private network, and as a result, unnecessary pinholes will be registered. There is a security concern. An object of the present invention is to provide a technique that enables SIP communication with higher security and saves resources of a NAT / FW device required for opening a pinhole.

本発明のFW制御を行うSIP通信制御装置は、ネットワークレイヤの送受信IPアドレスとトランスポートレイヤの送受信ポート番号の組により、アクセス制御を行うファイアウォール(FW)機能、ならびに、「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の変換、およびそれらの逆変換を行うNAT(Network Address Translation)機能を配備した、NAT/FW装置と連携して、SIP(Session Initiation Protocol)メッセージ内のIPアドレス変換機能、SDP(Session Description Protocol)の情報を管理しているデータベース、および、前記データベースに登録された情報に基づいてメディア送受信に用いるIPアドレス、ポート番号の組を前記NAT/FW装置に登録することで前記IPアドレス、ポート番号の組のメディア通信のみFWを通過させることを可能とするFW制御機能を配備したSIP通信制御装置であって、前記メディア送受信に用いるIPアドレス、ポート番号を取得する際に、メッセージがPrivateネットワークからGlobalネットワークへ通過する際に取得した変換後「Global IPアドレス、Globalポート番号」と、メッセージがGlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」を比較する手段と、前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一でない場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録する手段と、前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一である場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録しない手段と、を有することを特徴とする。   The SIP communication control apparatus for performing FW control according to the present invention includes a firewall (FW) function for performing access control based on a combination of a transmission / reception IP address of a network layer and a transmission / reception port number of a transport layer, and “Private IP address, Private port”. In a SIP (Session Initiation Protocol) message in cooperation with a NAT / FW device that has a NAT (Network Address Translation) function that performs conversion of "number" and "Global IP address, Global port number" and reverse conversion of them. The NAT / FW device includes a set of IP address conversion function, database for managing SDP (Session Description Protocol) information, and IP address and port number used for media transmission / reception based on the information registered in the database By registering with A SIP communication control device provided with a FW control function that allows only FW communication to pass through media communication of a set of IP address and port number, when acquiring the IP address and port number used for the media transmission / reception , “Global IP address, global port number” obtained when the message passes from the private network to the global network, and “Global IP address, global port number” obtained when the message passes from the global network to the private network. ”And“ Global IP address, global port number ”after conversion and“ Global ”acquired when passing from the Global network to the Private network. If the “P address and Global port number” are not the same, a means for registering a set of “Global IP address and Global port number” acquired when passing from the Global network to the Private network in the database; If the "Global IP address, Global port number" is the same as the "Global IP address, Global port number" obtained when passing from the Global network to the Private network, it will be obtained when passing from the Global network to the Private network. And means for not registering the set of “Global IP address and Global port number” in the database.

本発明のSIP通信制御装置におけるFW制御方法は、ネットワークレイヤの送受信IPアドレスとトランスポートレイヤの送受信ポート番号の組により、アクセス制御を行うファイアウォール(FW)機能、ならびに、「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の変換、およびそれらの逆変換を行うNAT(Network Address Translation)機能を配備した、NAT/FW装置と連携して、SIP(Session Initiation Protocol)メッセージ内のIPアドレス変換機能、SDP(Session Description Protocol)の情報を管理しているデータベース、および、前記データベースに登録された情報に基づいてメディア送受信に用いるIPアドレス、ポート番号の組を前記NAT/FW装置に登録することで前記IPアドレス、ポート番号の組のメディア通信のみFWを通過させることを可能とするFW制御機能を配備したSIP通信制御装置におけるFW制御方法であって、前記メディア送受信に用いるIPアドレス、ポート番号を取得する際に、メッセージがPrivateネットワークからGlobalネットワークへ通過する際に取得した変換後「Global IPアドレス、Globalポート番号」と、メッセージがGlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」を比較するステップと、前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一でない場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録するステップと、前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一である場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録しないステップと、を有することを特徴とする。   The FW control method in the SIP communication control apparatus according to the present invention includes a firewall (FW) function for performing access control based on a combination of a transmission / reception IP address of a network layer and a transmission / reception port number, and “Private IP address, Private port”. In a SIP (Session Initiation Protocol) message in cooperation with a NAT / FW device that has a NAT (Network Address Translation) function that performs conversion of "number" and "Global IP address, Global port number" and reverse conversion of them. The NAT / FW device includes a set of IP address conversion function, database for managing SDP (Session Description Protocol) information, and IP address and port number used for media transmission / reception based on the information registered in the database Register with And a FW control method in a SIP communication control device provided with a FW control function that allows FW to pass only through media communication of the set of the IP address and port number, and the IP address and port used for the media transmission / reception When acquiring the number, the "Global IP address, Global port number" obtained when the message passes from the private network to the global network and the "Global" acquired when the message passes from the global network to the private network. "IP address, Global port number" comparing step, and "Global IP address, Global port number" after the conversion and passing from the Global network to the Private network When the “Global IP address and Global port number” acquired at the time of registration are not the same, the set of “Global IP address and Global port number” acquired when passing from the Global network to the Private network is registered in the database. If the “Global IP address, Global port number” after the conversion and the “Global IP address, Global port number” acquired when passing from the Global network to the Private network are the same, the private network sends the Private And not registering a set of “Global IP address and Global port number” acquired when passing through the network in the database. It is characterized in.

本発明に係るSIP通信制御装置を用いることで、従来のように同一ネットワーク内の通信で、メディアはネットワーク内をNAT/FW装置を経由することなく送受信しているにもかかわらず、NAT/FW装置に対して不要なピンホールの登録を行なうということを抑止することが可能となる。その結果、よりセキュリティの高いSIP通信が可能となると共に、ピンホールを開放するために必要となるNAT/FW装置のリソースを節約することが可能となると期待できる。   By using the SIP communication control apparatus according to the present invention, the medium is transmitted / received through the network without going through the NAT / FW apparatus in the communication in the same network as in the past, but the NAT / FW Registration of unnecessary pinholes to the device can be suppressed. As a result, it is expected that SIP communication with higher security becomes possible and resources of the NAT / FW device necessary for opening the pinhole can be saved.

以下に本発明の実施の形態として、SIP通信制御装置およびNAT/FW装置を用いてアドレス体系の異なるネットワーク間においてVoIP通信を行う場合を例に図1〜図4を用いて詳細に説明する。なお、ステップをSと略記する。   Hereinafter, as an embodiment of the present invention, a case where VoIP communication is performed between networks having different address systems using a SIP communication control device and a NAT / FW device will be described in detail with reference to FIGS. Step is abbreviated as S.

図1は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いてIPアドレス体系の異なるネットワーク間においてVoIP通信を行う際のシステムの全体構成の一例を説明するためのブロック図である。   FIG. 1 is a block diagram for explaining an example of the overall configuration of a system for performing VoIP communication between networks having different IP address systems using the SIP communication control device and the NAT / FW device according to the embodiment of the present invention. is there.

図2は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いて、Globalネットワークに配備されたSIP Serverを経由して、Privateネットワークの端末と、Globalネットワークの端末間でVoIP通信を行う場合の一般的な信号シーケンスおよびSIP通信制御装置の動作概要を説明するための図である。なお、図2に記載されるシーケンスは本発明の実施形態の説明に必要な部分だけを記載することにより簡略化している。   FIG. 2 illustrates a VoIP communication between a private network terminal and a global network terminal via a SIP server deployed in the global network, using the SIP communication control apparatus and the NAT / FW apparatus according to the embodiment of the present invention. It is a figure for demonstrating the general signal sequence in the case of performing and operation | movement outline | summary of a SIP communication control apparatus. Note that the sequence shown in FIG. 2 is simplified by describing only the portions necessary for the description of the embodiment of the present invention.

図3は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いて、Globalネットワークに配備されたSIP Serverを経由して、同一のPrivateネットワークの端末間でVoIP通信を行う場合の一般的な信号シーケンスおよびSIP通信制御装置の動作概要を説明するための図である。なお、図3に記載されるシーケンスは本発明の実施形態の説明に必要な部分だけを記載することにより簡略化している。   FIG. 3 shows a case where VoIP communication is performed between terminals of the same private network via a SIP server deployed in the global network using the SIP communication control device and the NAT / FW device of the embodiment of the present invention. It is a figure for demonstrating the general signal sequence and the operation | movement outline | summary of a SIP communication control apparatus. Note that the sequence described in FIG. 3 is simplified by describing only the portions necessary for describing the embodiment of the present invention.

図4は、本発明の実施形態のSIP通信制御装置において、SIPメッセージを受信した後に、通信の経路を識別してピンホールを登録するか否かを判断する際の処理フローを示した図である。   FIG. 4 is a diagram showing a processing flow when the SIP communication control apparatus according to the embodiment of the present invention determines whether to identify a communication path and register a pinhole after receiving a SIP message. is there.

本発明の実施形態のSIP通信制御装置およびNAT/FW装置が用いられるシステムの全体構成の一例を図1を用いて説明する。
SIP通信制御装置10は、NAT/FW装置20と接続されており、NAT/FW装置20はアドレス体系の異なるネットワーク、ネットワークA(Privateネットワーク)30およびネットワークB(Globalネットワーク)31を収容した構成となっている。 An example of the overall configuration of a system in which the SIP communication control device and the NAT / FW device according to the embodiment of the present invention are used will be described with reference to FIG.
The SIP communication control device 10 is connected to a NAT / FW device 20, and the NAT / FW device 20 includes a network having a different address system, a network A (Private network) 30 and a network B (Global network) 31. It has become.

SIP通信制御装置10は情報処理部100、データベース110により構成されており、情報処理部100は通信経路識別機能1010を有するFW制御機能101とSIPメッセージ内のIPアドレス変換機能102を備え、データベース110はSDP情報管理テーブルを有しSDPの情報を管理している。   The SIP communication control apparatus 10 includes an information processing unit 100 and a database 110. The information processing unit 100 includes a FW control function 101 having a communication path identification function 1010 and an IP address conversion function 102 in a SIP message. Has an SDP information management table and manages SDP information.

NAT/FW装置20はNAT機能210およびFW機能200を有する。ここでFW機能はNAT変換前のアドレス体系のネットワーク、NAT変換前のアドレス体系のネットワークそれぞれに配備されている。   The NAT / FW device 20 has a NAT function 210 and an FW function 200. Here, the FW function is provided in each of an address system network before NAT conversion and an address system network before NAT conversion.

ネットワークA(Privateネットワーク)30はスイッチ301を介して、IP電話端末A302−a、IP電話端末B302−bと接続されており、またネットワークB(Globalネットワーク)31はスイッチ311を介してIP電話端末C313、およびSIP Server312と接続されている。   The network A (Private network) 30 is connected to the IP telephone terminal A 302 -a and the IP telephone terminal B 302 -b via the switch 301, and the network B (Global network) 31 is connected to the IP telephone terminal via the switch 311. C313 and SIP server 312 are connected.

次に、本発明の実施形態における信号シーケンスおよびSIP通信制御装置の動作概要を説明する。以下の説明では煩雑さを避けるためIPアドレスの変換についてのみ説明するが、実際には、アドレス変換は「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の組について行われ、また、データベース110のSDP情報管理テーブル等への登録、メディア送受信に用いるIPアドレス、ポート番号の組としてのNAT/FW装置への登録もこれらの組によって行われる。   Next, a signal sequence and an outline of the operation of the SIP communication control device according to the embodiment of the present invention will be described. In the following description, only IP address conversion will be described in order to avoid complication, but in reality, address conversion is performed for a pair of “Private IP address, Private port number” and “Global IP address, Global port number”. Also, registration to the SDP information management table of the database 110, registration to the NAT / FW device as a set of IP address and port number used for media transmission / reception is also performed by these sets.

図2のシーケンス例および図4の処理フローを用いて、PrivateネットワークのIP電話端末A302−aから発呼され、GlobalネットワークのSIP Server312を介して、GlobalネットワークのIP電話端末C313に着信する場合のSIP通信制御装置10およびNAT/FW装置20の動作の説明を行う。図2の例では、IP電話端末A302−aのPrivate IPアドレスは192.168.0.1であり、IP電話端末C313のGlobal IPアドレスは140.0.0.1である。   2 and the processing flow of FIG. 4, a call is made from the IP telephone terminal A302-a of the private network, and arrives at the IP telephone terminal C313 of the global network via the SIP server 312 of the global network. Operations of the SIP communication control device 10 and the NAT / FW device 20 will be described. In the example of FIG. 2, the private IP address of IP telephone terminal A302-a is 192.168.0.1, and the global IP address of IP telephone terminal C313 is 140.0.0.1.

IP電話端末A302−aから送信されたINVITEメッセージをNAT/FW装置20において受信すると、NAT/FW装置20は、ネットワークレイヤのIPアドレス変換を行なった後、アプリケーションレイヤにおけるSIPのアドレス変換を行う処理およびFWを制御するための処理のためINVITEメッセージをSIP通信制御装置10へと転送する。SIP通信制御装置10では、INVITEメッセージを受信すると、SIPメッセージ内のIPアドレス変換機能102により、NAT/FW装置20によって変換されたネットワークレイヤのIPアドレスに基づいて、SIPメッセージ内のPrivateアドレスをGlobalアドレスへと変換する(図4のS101、S102)。図2の例では、IP電話端末A302−aのPrivate IPアドレス192.168.0.1をGlobal IPアドレス130.0.0.1へ変換している(S121)。SIPのアドレス変換の詳細な方法については本出願人による関連特許出願の明細書、特願2002−330300号明細書「アドレス変換組の生存時間取得・計算を可能としたALG装置」、特願2002−332300号明細書「APIおよびそれを用いた通信」、特願2002−333541号明細書「アプリケーションレイヤにおけるアドレス変換装置」、特願2002−327085号明細書「IPアドレス変換装置」、特願2004−010430号明細書「複数NAT/FW制御装置接続に対応したSIP−ALGの呼関連リソース管理方法及びそのSIP−ALG」、特願2004−003967号明細書「SIP−ALGの呼状態管理方法」に示されている。   When the NAT / FW device 20 receives the INVITE message transmitted from the IP telephone terminal A302-a, the NAT / FW device 20 performs the IP address conversion of the network layer and then performs the SIP address conversion in the application layer. Then, the INVITE message is transferred to the SIP communication control apparatus 10 for processing for controlling the FW. When the SIP communication control device 10 receives the INVITE message, the IP address conversion function 102 in the SIP message uses the IP address of the network layer converted by the NAT / FW device 20 by the IP address conversion function 102 to set the Private address in the SIP message to Global. Conversion into an address (S101, S102 in FIG. 4). In the example of FIG. 2, the private IP address 192.168.0.1 of the IP telephone terminal A302-a is converted to the global IP address 130.0.0.1 (S121). The detailed method of SIP address translation is described in the specification of the related patent application filed by the present applicant, Japanese Patent Application No. 2002-330300, “ALG device capable of acquiring and calculating the lifetime of the address translation group”, Japanese Patent Application 2002 No. -332300 “API and communication using the same”, Japanese Patent Application No. 2002-333541 “Address Translation Device in Application Layer”, Japanese Patent Application No. 2002-327085 “IP Address Translation Device”, Japanese Patent Application No. 2004 -010430 specification "SIP-ALG call related resource management method and its SIP-ALG corresponding to multiple NAT / FW controller connection", Japanese Patent Application No. 2004-003967 "SIP-ALG call state management method" Is shown in

次に、ピンホールを登録するため、FW制御機能101においてSDPのPrivateアドレスと、変換後Globalアドレスをデータベース110のSDP情報管理テーブルへと格納する(図4のS103)。図2の例では、IP電話端末A302−aのPrivate IPアドレス(図2ではLocalと表記)192.168.0.1と変換後のGlobal IPアドレス(図2では変換後Globalと表記)130.0.0.1がデータベース110のSDP情報管理テーブル(図2ではSDPテーブルと表記)に保持される(S121)。なお、ピンホールとはNAT/FW装置20のFW機能200に対するフィルタのことであり、FW機能200は登録された送受信IPアドレス、送受信ポート番号の組と一致したIPアドレス、ポート番号のパケットのみを通過させる。本実施形態においては、SIP通信制御装置10がNAT/FW装置20のFW機能200にピンホールの登録を行い、メディア信号(主にRTP:Real Time Transport Protocol)をIP電話端末A302−a、IP電話端末C313間で送受信できるようにし、また、メディア信号の送受信が終了したときはピンホール削除を行う。ピンホールの登録方法については、本出願人による特願2003−041328号明細書「SIP通信制御装置」、特願2003−010430号明細書「複数NAT/FW装置接続に対応したSIP−ALGの呼関連リソース管理方法及びそのSIP−ALG」に示されている。   Next, in order to register the pinhole, the FW control function 101 stores the private address of the SDP and the converted global address in the SDP information management table of the database 110 (S103 in FIG. 4). In the example of FIG. 2, the private IP address of IP phone terminal A302-a (indicated as “Local” in FIG. 2) 192.168.0.1 and the converted global IP address (indicated in FIG. 2 as converted Global) 130. 0.0.1 is held in the SDP information management table (denoted as the SDP table in FIG. 2) of the database 110 (S121). The pinhole is a filter for the FW function 200 of the NAT / FW device 20, and the FW function 200 only receives a packet having a registered transmission / reception IP address and a transmission / reception port number matching an IP address and port number. Let it pass. In the present embodiment, the SIP communication control device 10 registers a pinhole in the FW function 200 of the NAT / FW device 20, and sends a media signal (mainly RTP: Real Time Transport Protocol) to the IP telephone terminal A302-a, IP Transmission / reception can be performed between the telephone terminals C313, and pinhole deletion is performed when transmission / reception of media signals is completed. Regarding the pinhole registration method, Japanese Patent Application No. 2003-041328 “SIP communication control device” and Japanese Patent Application No. 2003-010430 “SIP-ALG call corresponding to connection of multiple NAT / FW devices” by the present applicant. Related resource management method and its SIP-ALG ".

SIP通信制御装置10でSIPメッセージ内のアドレス変換が行われたINVITEメッセージは、NAT/FW装置20に戻され、SIP Server312を経由し、GlobalのIP電話端末C313に着信し、応答信号である200 OKメッセージが生成される。INVITEメッセージと同様に200 OKメッセージも前記NAT/FW装置20から前記SIP通信制御装置10へと転送され、GlobalのSDP情報を取得する(図4のS104)。図2の例では、受信した200 OKメッセージに記載されたIP電話端末C313のGlobal IPアドレス140.0.0.1を取得する(S122)。その後、S121でデータベース110のSDP情報管理テーブルへと格納した変換後GlobalアドレスとS122で取得したGlobalアドレスを比較して同一か否か識別する(図4のS105)。ここで、200 OKメッセージに記載されたGlobalアドレスはIP電話端末C313が設定したアドレスであるため、データベース110のSDP情報管理テーブルに格納されている変換後GlobalアドレスとS122で取得したGlobalアドレスは同一とならず、Privateネットワーク、Globalネットワーク間の通信であると判断できるため、Globalアドレスをデータベース110のSDP情報管理テーブルへと格納する(図4のS201)。図2の例では、データベース110のSDP情報管理テーブルに保持されている変換後Global IPアドレスは130.0.0.1で、200 OKメッセージに記載されたGlobal IPアドレスは140.0.0.1であり、これらを比較すると同一ではないため、200 OKメッセージに記載されたIP電話端末C313のGlobal IPアドレス140.0.0.1をSDP情報管理テーブルへ保持する(S123)。その後、従来の方法に基づき、必要に応じてSDP情報管理テーブルに保持(登録)された情報に基づいてピンホールの登録を行いメディアのFW通過を可能とする(図4のS202)。図2の例では、SIP通信制御装置10は、SDP情報管理テーブルに保持されているIP電話端末A302−aのPrivate IPアドレス(図2ではLocalと表記)192.168.0.1と変換後のGlobal IPアドレス(図2では変換後Globalと表記)130.0.0.1と、IP電話端末C313のGlobal IPアドレス(図2ではGlobalと表記)140.0.0.1を、メディア送受信に用いるIPアドレス、ポート番号としてNAT/FW装置20にピンホール登録し(S124)、IP電話端末A302−aに200 OKメッセージを送信する。NAT/FW装置20は、ピンホール登録されたIPアドレス、ポート番号の組のメディア通信のみFW機能200を通過させ、それにより、IP電話端末A302−aとIP電話端末C313との間のメディア通信が可能となる。   The INVITE message whose address has been converted in the SIP message by the SIP communication control device 10 is returned to the NAT / FW device 20, arrives at the global IP telephone terminal C 313 via the SIP Server 312, and is a response signal 200. An OK message is generated. Similar to the INVITE message, the 200 OK message is also transferred from the NAT / FW device 20 to the SIP communication control device 10 to obtain Global SDP information (S104 in FIG. 4). In the example of FIG. 2, the global IP address 140.0.0.1 of the IP telephone terminal C313 described in the received 200 OK message is acquired (S122). Thereafter, the converted Global address stored in the SDP information management table of the database 110 in S121 is compared with the Global address acquired in S122 to identify whether or not they are the same (S105 in FIG. 4). Here, since the Global address described in the 200 OK message is an address set by the IP telephone terminal C313, the converted Global address stored in the SDP information management table of the database 110 and the Global address acquired in S122 are the same. Therefore, since it can be determined that the communication is between the private network and the global network, the global address is stored in the SDP information management table of the database 110 (S201 in FIG. 4). In the example of FIG. 2, the converted Global IP address held in the SDP information management table of the database 110 is 130.0.0.1, and the Global IP address described in the 200 OK message is 140.0.0. 1. Since these are not the same when compared, the global IP address 140.0.0.1 of the IP telephone terminal C313 described in the 200 OK message is held in the SDP information management table (S123). Thereafter, based on the conventional method, if necessary, pinhole registration is performed based on information held (registered) in the SDP information management table to allow media to pass through FW (S202 in FIG. 4). In the example of FIG. 2, the SIP communication control device 10 converts the private IP address (denoted as Local in FIG. 2) 192.168.0.1 of the IP telephone terminal A302-a held in the SDP information management table to Media IP address (indicated in FIG. 2 as converted Global) 130.0.0.1 and IP phone terminal C313 Global IP address (indicated in FIG. 2 as Global) 140.0.0.1 A pinhole is registered in the NAT / FW device 20 as an IP address and a port number used for (S124), and a 200 OK message is transmitted to the IP telephone terminal A302-a. The NAT / FW device 20 passes only the media communication of the pair of the IP address and port number registered in the pinhole through the FW function 200, whereby the media communication between the IP telephone terminal A302-a and the IP telephone terminal C313 is performed. Is possible.

次に、図3のシーケンス例および図4の処理フローを用いて、PrivateネットワークのIP電話端末A302−aから発呼され、GlobalネットワークのSIP Server312を経由し、折り返し、IP電話端末A302−aが属するPrivateネットワークと同一PrivateネットワークのIP電話端末B302−bに着信する場合のSIP通信制御装置10およびNAT/FW装置20の動作の説明を行う。IP電話端末A302−aとIP電話端末B302−bは同一Privateネットワークに存在しており、図3の例では、IP電話端末A302−aのPrivate IPアドレスは192.168.0.1であり、IP電話端末B302−bのPrivate IPアドレスは192.168.0.2である。   Next, using the sequence example of FIG. 3 and the processing flow of FIG. 4, a call is made from the IP telephone terminal A302-a of the private network, and then returned via the SIP server 312 of the global network. The operation of the SIP communication control device 10 and the NAT / FW device 20 when receiving an incoming call to the IP telephone terminal B302-b of the same private network as the private network to which it belongs is described. The IP telephone terminal A302-a and the IP telephone terminal B302-b exist in the same private network. In the example of FIG. 3, the private IP address of the IP telephone terminal A302-a is 192.168.0.1. The private IP address of the IP telephone terminal B302-b is 192.168.0.2.

SIP通信制御装置10において、IP電話端末A302−aから送信されたINVITEメッセージを受信し、SIPメッセージ内のPrivateアドレスをGlobalアドレスへと変換するところまでは、図2を用いて説明したPrivate、Global端末間の通信と同様であり、次のように処理がなされる。IP電話端末A302−aから送信されたINVITEメッセージをNAT/FW装置20において受信すると、NAT/FW装置20は、ネットワークレイヤのIPアドレス変換を行なった後、アプリケーションレイヤにおけるSIPのアドレス変換を行う処理およびFWを制御するための処理のためINVITEメッセージをSIP通信制御装置10へと転送する。SIP通信制御装置10では、INVITEメッセージを受信すると、SIPメッセージ内のIPアドレス変換機能102により、NAT/FW装置20によって変換されたネットワークレイヤのIPアドレスに基づいて、SIPメッセージ内のPrivateアドレスをGlobalアドレスへと変換する(図4のS101、S102)。図3の例では、IP電話端末A302−aのPrivate IPアドレス192.168.0.1をGlobal IPアドレス130.0.0.1へ変換している(S131)。次に、ピンホールを登録するため、FW制御機能101においてSDPのPrivateアドレスと、変換後Globalアドレスをデータベース110のSDP情報管理テーブルへと格納する(図4のS103)。図3の例では、IP電話端末A302−aのPrivate IPアドレス(図3ではLocalと表記)192.168.0.1と変換後のGlobal IPアドレス(図3では変換後Globalと表記)130.0.0.1がデータベース110のSDP情報管理テーブル(図3ではSDPテーブルと表記)に保持される(S131)。   Until the SIP communication control apparatus 10 receives the INVITE message transmitted from the IP telephone terminal A302-a and converts the Private address in the SIP message into a Global address, the Private and Global described with reference to FIG. This is similar to communication between terminals, and processing is performed as follows. When the NAT / FW device 20 receives the INVITE message transmitted from the IP telephone terminal A302-a, the NAT / FW device 20 performs the IP address conversion of the network layer and then performs the SIP address conversion in the application layer. Then, the INVITE message is transferred to the SIP communication control apparatus 10 for processing for controlling the FW. When the SIP communication control device 10 receives the INVITE message, the IP address conversion function 102 in the SIP message uses the IP address of the network layer converted by the NAT / FW device 20 by the IP address conversion function 102 to set the Private address in the SIP message to Global. Conversion into an address (S101, S102 in FIG. 4). In the example of FIG. 3, the private IP address 192.168.0.1 of the IP telephone terminal A302-a is converted to the global IP address 130.0.0.1 (S131). Next, in order to register the pinhole, the FW control function 101 stores the private address of the SDP and the converted global address in the SDP information management table of the database 110 (S103 in FIG. 4). In the example of FIG. 3, the private IP address of IP phone terminal A 302-a (indicated as “Local” in FIG. 3) 192.168.0.1 and the converted global IP address (indicated in FIG. 3 as converted Global) 130. 0.0.1 is held in the SDP information management table (denoted as the SDP table in FIG. 3) of the database 110 (S131).

SIP通信制御装置10でSIPメッセージ内のアドレス変換が行われたINVITEメッセージは、NAT/FW装置20に戻され、SIP Server312経由後、着信先がIP電話端末A302−aが属するPrivateネットワークと同一Privateネットワークであるため、INVITEメッセージは再度NAT/FW装置20およびSIP通信制御装置10を経由して折り返す。ここで、Privateから変換された変換後GlobalはPrivateへ逆変換されるが、FW制御機能101はGlobalアドレスとして、変換後Globalアドレスを取得する(図4のS104、ただし、この場合は、受信したメッセージは、200 OKメッセージではなく、SIP Server312経由で戻ってきたINVITEメッセージである)。図3の例では、SIP Server312経由で戻ってきたINVITEメッセージの送信元Global IPアドレスとして130.0.0.1を取得する(S132)。ここで、FW制御機能101内の通信経路識別機能1010において、変換後GlobalアドレスとGlobalアドレスを比較して(図4のS105)、本ケースに示したように同一となる場合は、同一ネットワーク内の通信であると判断して、データベース110のSDP情報管理テーブルへと保持しない(図4のS106)。図3の例では、S131においてデータベース110のSDP情報管理テーブルに格納されたIP電話端末A302−aの変換後Global IPアドレス130.0.0.1と、SIP Server312経由で戻ってきたINVITEメッセージの送信元Global IPアドレス130.0.0.1とを比較し、同一であるためこのIPアドレスをデータベース110のSDP情報管理テーブルへ保持しない(S132)。   The INVITE message whose address is converted in the SIP message by the SIP communication control device 10 is returned to the NAT / FW device 20, and after passing through the SIP Server 312, the destination is the same as the private network to which the private network to which the IP telephone terminal A302-a belongs. Since it is a network, the INVITE message is returned again via the NAT / FW device 20 and the SIP communication control device 10. Here, the converted Global converted from Private is reversely converted to Private, but the FW control function 101 acquires the converted Global address as the Global address (S104 in FIG. 4, but in this case, it is received) The message is not a 200 OK message but an INVITE message returned via the SIP Server 312). In the example of FIG. 3, 130.0.0.1 is acquired as the source global IP address of the INVITE message returned via the SIP server 312 (S132). Here, in the communication path identification function 1010 in the FW control function 101, the converted Global address and the Global address are compared (S105 in FIG. 4). Is not stored in the SDP information management table of the database 110 (S106 in FIG. 4). In the example of FIG. 3, the converted global IP address 130.0.0.1 of the IP telephone terminal A 302-a stored in the SDP information management table of the database 110 in S 131 and the INVITE message returned via the SIP Server 312. The source global IP address 130.0.0.1 is compared, and since it is the same, this IP address is not held in the SDP information management table of the database 110 (S132).

その後INVITEメッセージはIP電話端末B302−bに着信し、応答信号である200 OKメッセージが生成される。IP電話端末Bで生成された応答信号200 OKメッセージについても同様に、PrivateからGlobalに変換する場合は、Privateアドレスと変換後Globalアドレスをデータベース110のSDP情報管理テーブルへと保持するが、GlobalからPrivateの方向では変換後GlobalアドレスとGlobalアドレスが同一となるためSDP情報管理テーブルへは保持しない。   Thereafter, the INVITE message arrives at the IP telephone terminal B302-b, and a 200 OK message as a response signal is generated. Similarly, in the case where the response signal 200 OK message generated by the IP telephone terminal B is converted from Private to Global, the Private address and the converted Global address are stored in the SDP information management table of the database 110. In the direction of Private, the global address after conversion and the Global address are the same, and therefore, they are not held in the SDP information management table.

以下、IP電話端末B302−bからの応答信号200 OKメッセージの処理について詳細に説明する。   Hereinafter, processing of the response signal 200 OK message from the IP telephone terminal B302-b will be described in detail.

IP電話端末B302−bから送信された200 OKメッセージをNAT/FW装置20において受信すると、NAT/FW装置20は、ネットワークレイヤのIPアドレス変換を行なった後、アプリケーションレイヤにおけるSIPのアドレス変換を行う処理およびFWを制御するための処理のため200 OKメッセージをSIP通信制御装置10へと転送する。SIP通信制御装置10では、200 OKメッセージを受信すると、SIPメッセージ内のIPアドレス変換機能102により、NAT/FW装置20によって変換されたネットワークレイヤのIPアドレスに基づいて、SIPメッセージ内のPrivateアドレスをGlobalアドレスへと変換する(図4のS101、S102、ただし、この場合は、S101で受信したメッセージは、INVITEメッセージではなく、IP電話端末B302−bからの応答信号である200 OKメッセージである)。図3の例では、IP電話端末B302−bのPrivate IPアドレス192.168.0.2をGlobal IPアドレス130.0.0.2へ変換している(S133)。次に、ピンホールを登録するため、FW制御機能101においてSDPのPrivateアドレスと、変換後Globalアドレスをデータベース110のSDP情報管理テーブルへと格納する(図4のS103)。図3の例では、IP電話端末B302−bのPrivate IPアドレス192.168.0.2と変換後のGlobal IPアドレス130.0.0.2がデータベース110のSDP情報管理テーブルに保持される(S133)。   When the NAT / FW device 20 receives the 200 OK message transmitted from the IP telephone terminal B302-b, the NAT / FW device 20 performs IP address conversion in the network layer and then performs SIP address conversion in the application layer. The 200 OK message is transferred to the SIP communication control device 10 for processing and processing for controlling FW. Upon receiving the 200 OK message, the SIP communication control device 10 sets the private address in the SIP message based on the IP address of the network layer converted by the NAT / FW device 20 by the IP address conversion function 102 in the SIP message. Convert to a global address (S101, S102 in FIG. 4; however, in this case, the message received in S101 is not an INVITE message but a 200 OK message which is a response signal from the IP telephone terminal B302-b) . In the example of FIG. 3, the private IP address 192.168.0.2 of the IP telephone terminal B302-b is converted to the global IP address 130.0.0.2 (S133). Next, in order to register the pinhole, the FW control function 101 stores the private address of the SDP and the converted global address in the SDP information management table of the database 110 (S103 in FIG. 4). In the example of FIG. 3, the private IP address 192.168.0.2 of the IP telephone terminal B302-b and the translated global IP address 130.0.0.2 are held in the SDP information management table of the database 110 ( S133).

SIP通信制御装置10でSIPメッセージ内のアドレス変換が行われた200 OKメッセージは、NAT/FW装置20に戻され、SIP Server312経由後、再度NAT/FW装置20およびSIP通信制御装置10を経由して折り返す。ここで、Privateから変換された変換後GlobalはPrivateへ逆変換されるが、FW制御機能101はGlobalアドレスとして、変換後Globalアドレスを取得する(図4のS104)。図3の例では、SIP Server312経由で戻された200 OKメッセージの送信元Global IPアドレスとして130.0.0.2を取得する(S134)。ここで、FW制御機能101内の通信経路識別機能1010において、変換後GlobalアドレスとGlobalアドレスを比較して(図4のS105)、同一ネットワーク内の通信であると判断して、データベース110のSDP情報管理テーブルへと保持しない(図4のS106)。図3の例では、S133においてデータベース110のSDP情報管理テーブルに格納されたIP電話端末B302−bの変換後Global IPアドレス130.0.0.2と、SIP Server312経由で戻された200 OKメッセージの送信元Global IPアドレス130.0.0.2とを比較し、同一であるためこのIPアドレスをデータベース110のSDP情報管理テーブルへ保持しない(S134)。結局、情報が揃わないため、SIP通信制御装置10はNAT/FW装置20にピンホール登録を行わない(S135)。NAT/FW装置20はIP電話端末A302−aに200 OKメッセージを送信する。IP電話端末A302−aとIP電話端末B302−bは同一Privateネットワークに属してるため、NAT/FW装置20にピンホール登録がなされていなくても、メディア通信が可能である。   The 200 OK message whose address is converted in the SIP message by the SIP communication control device 10 is returned to the NAT / FW device 20, passes through the SIP Server 312, and then passes through the NAT / FW device 20 and the SIP communication control device 10 again. And turn it back. Here, the converted Global converted from Private is reversely converted to Private, but the FW control function 101 acquires the converted Global address as the Global address (S104 in FIG. 4). In the example of FIG. 3, 130.0.0.2 is acquired as the transmission source Global IP address of the 200 OK message returned via the SIP Server 312 (S134). Here, the communication path identification function 1010 in the FW control function 101 compares the converted Global address with the Global address (S105 in FIG. 4), determines that the communication is within the same network, and determines the SDP of the database 110. The information is not stored in the information management table (S106 in FIG. 4). In the example of FIG. 3, the translated global IP address 130.0.0.2 of the IP telephone terminal B 302-b stored in the SDP information management table of the database 110 in S 133 and the 200 OK message returned via the SIP Server 312. The source global IP address 130.0.0.2 is compared, and since it is the same, this IP address is not held in the SDP information management table of the database 110 (S134). Eventually, since the information is not complete, the SIP communication control device 10 does not perform pinhole registration in the NAT / FW device 20 (S135). The NAT / FW device 20 transmits a 200 OK message to the IP telephone terminal A302-a. Since IP phone terminal A 302-a and IP phone terminal B 302-b belong to the same private network, media communication is possible even if pinhole registration is not performed in NAT / FW device 20.

以上のような処理を追加することで、同一ネットワーク内の通信においてはデータベース110のSDP情報管理テーブルにGlobalアドレスが保持されないため、ピンホール登録が行なわれず、不要なピンホールの開放を抑止することが可能となる。   By adding the above processing, the global address is not held in the SDP information management table of the database 110 in communication within the same network, so pinhole registration is not performed and unnecessary pinhole release is suppressed. Is possible.

以上説明したように、ピンホールを用いて不要なピンホールの登録を抑制する方法としては、PrivateからGlobal方向へ信号が通過する際に取得した「変換後Globalアドレス」と、GldbalからPrivate方向へ信号が通過する際に取得した「Globalアドレス」比較することが有効である。Globalネットワークに配備されたSIP Serverを経由して同一のPrivate側ネットワーク内の2端末で通信を行なう場合、すなわちSIP Serverで信号が折り返す場合は、「変換後Globalアドレス」と「Globalアドレス」は同一となるため、同一となる場合は「Globalアドレス」をALG内部で管理するデータベースへと登録しないことで、「変換前Privateアドレス」「変換後Globalアドレス」「Globalアドレス」全ての情報が揃わなくなるためピンホールの登録を行なうことは無い。このような方法を用いることで、不要なピンホールの登録の抑制を行なうことが可能となる。   As described above, as a method of suppressing registration of unnecessary pinholes using pinholes, “translated global address” acquired when a signal passes from the private to the global direction, and from the gldbal to the private direction. It is effective to compare the “Global address” acquired when the signal passes. When communication is performed with two terminals in the same private network via the SIP server deployed in the global network, that is, when the signal is returned by the SIP server, the “global address after conversion” and the “global address” are the same. Therefore, if they are the same, by not registering the “Global address” in the database managed inside the ALG, all information of “Private address before conversion”, “Global address after conversion”, and “Global address” will not be available. There is no pinhole registration. By using such a method, it is possible to suppress registration of unnecessary pinholes.

本実施形態のSIP通信制御装置10、NAT/FW装置20はその機能を実現する手段を備えている。また、本実施形態のSIP通信制御装置10、NAT/FW装置20はコンピュータとプログラムによっても実現できる。   The SIP communication control device 10 and the NAT / FW device 20 of this embodiment are provided with means for realizing the functions. Further, the SIP communication control device 10 and the NAT / FW device 20 of the present embodiment can also be realized by a computer and a program.

以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。   As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Of course.

本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いてIPアドレス体系の異なるネットワーク間においてVoIP通信を行う際のシステムの全体構成の一例を説明するためのブロック図である。It is a block diagram for demonstrating an example of the whole structure of the system at the time of performing VoIP communication between networks in which IP address systems differ using the SIP communication control apparatus and NAT / FW apparatus of embodiment of this invention. 図2は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いて、Globalネットワークに配備されたSIP Serverを経由して、Privateネットワークの端末と、Globalネットワークの端末間でVoIP通信を行う場合の一般的な信号シーケンスおよびSIP通信制御装置の動作概要を説明するための図である。FIG. 2 illustrates a VoIP communication between a private network terminal and a global network terminal via a SIP server deployed in the global network, using the SIP communication control apparatus and the NAT / FW apparatus according to the embodiment of the present invention. It is a figure for demonstrating the general signal sequence in the case of performing and operation | movement outline | summary of a SIP communication control apparatus. 図3は、本発明の実施形態のSIP通信制御装置およびNAT/FW装置を用いて、Globalネットワークに配備されたSIP Serverを経由して、同一のPrivateネットワークの端末間でVoIP通信を行う場合の一般的な信号シーケンスおよびSIP通信制御装置の動作概要を説明するための図である。FIG. 3 shows a case where VoIP communication is performed between terminals of the same private network via a SIP server deployed in the global network using the SIP communication control device and the NAT / FW device of the embodiment of the present invention. It is a figure for demonstrating the general signal sequence and the operation | movement outline | summary of a SIP communication control apparatus. 図4は、本発明の実施形態のSIP通信制御装置において、SIPメッセージを受信した後に、通信の経路を識別してピンホールを登録するか否かを判断する際の処理フローを示した図である。FIG. 4 is a diagram showing a processing flow when the SIP communication control apparatus according to the embodiment of the present invention determines whether to identify a communication path and register a pinhole after receiving a SIP message. is there.

符号の説明Explanation of symbols

10:SIP通信制御装置
100:情報処理部
101:FW制御機能
102:SIPメッセージ内のIPアドレス変換機能
1010:通信経路識別機能
20:NAT/FW装置
200:FW機能
210:NAT機能
30:ネットワークA(Privateネットワーク)
31:ネットワークB(Globalネットワーク)
301、311:スイッチ
302−a、302−b、313:IP電話端末A〜C
312:SIP Server

10: SIP communication control device 100: Information processing unit 101: FW control function 102: IP address conversion function in SIP message 1010: Communication path identification function 20: NAT / FW device 200: FW function 210: NAT function 30: Network A (Private network)
31: Network B (Global network)
301, 311: Switches 302-a, 302-b, 313: IP telephone terminals A to C
312: SIP Server

Claims (2)

ネットワークレイヤの送受信IPアドレスとトランスポートレイヤの送受信ポート番号の組により、アクセス制御を行うファイアウォール(FW)機能、ならびに、「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の変換、およびそれらの逆変換を行うNAT(Network Address Translation)機能を配備した、NAT/FW装置と連携して、
SIP(Session Initiation Protocol)メッセージ内のIPアドレス変換機能、SDP(Session Description Protocol)の情報を管理しているデータベース、および、前記データベースに登録された情報に基づいてメディア送受信に用いるIPアドレス、ポート番号の組を前記NAT/FW装置に登録することで前記IPアドレス、ポート番号の組のメディア通信のみFWを通過させることを可能とするFW制御機能を配備したSIP通信制御装置であって、
前記メディア送受信に用いるIPアドレス、ポート番号を取得する際に、メッセージがPrivateネットワークからGlobalネットワークへ通過する際に取得した変換後「Global IPアドレス、Globalポート番号」と、メッセージがGlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」を比較する手段と、
前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一でない場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録する手段と、
前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一である場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録しない手段と、
を有することを特徴とするFW制御を行うSIP通信制御装置。 A firewall (FW) function that performs access control based on a combination of a transmission / reception IP address of the network layer and a transmission / reception port number of the transport layer, and “Private IP address, Private port number” and “Global IP address, Global port number” In cooperation with NAT / FW devices that have NAT (Network Address Translation) function that performs conversion and reverse conversion of them,
IP address conversion function in SIP (Session Initiation Protocol) message, database managing SDP (Session Description Protocol) information, and IP address and port number used for media transmission / reception based on information registered in the database A SIP communication control device provided with a FW control function that allows only the media communication of the set of the IP address and port number to pass through the FW by registering the set in the NAT / FW device,
When acquiring the IP address and port number used for the media transmission / reception, the message “Global IP address and global port number” obtained when the message passes from the private network to the global network, and the message is sent from the global network to the private network. Means for comparing “Global IP address, Global port number” acquired when passing to
If the "Global IP address, Global port number" after the conversion is not the same as the "Global IP address, Global port number" obtained when passing from the Global network to the Private network, the Global network passes to the Private network. Means for registering a set of “Global IP address and Global port number” acquired at the time in the database;
If the “Global IP address, Global port number” after the conversion is the same as the “Global IP address, Global port number” obtained when passing from the Global network to the Private network, the Global network passes to the Private network. Means for not registering the set of “Global IP address and Global port number” acquired in the database to the database;
A SIP communication control apparatus for performing FW control, comprising: ネットワークレイヤの送受信IPアドレスとトランスポートレイヤの送受信ポート番号の組により、アクセス制御を行うファイアウォール(FW)機能、ならびに、「Private IPアドレス、Privateポート番号」と「Global IPアドレス、Globalポート番号」の変換、およびそれらの逆変換を行うNAT(Network Address Translation)機能を配備した、NAT/FW装置と連携して、
SIP(Session Initiation Protocol)メッセージ内のIPアドレス変換機能、SDP(Session Description Protocol)の情報を管理しているデータベース、および、前記データベースに登録された情報に基づいてメディア送受信に用いるIPアドレス、ポート番号の組を前記NAT/FW装置に登録することで前記IPアドレス、ポート番号の組のメディア通信のみFWを通過させることを可能とするFW制御機能を配備したSIP通信制御装置におけるFW制御方法であって、
前記メディア送受信に用いるIPアドレス、ポート番号を取得する際に、メッセージがPrivateネットワークからGlobalネットワークへ通過する際に取得した変換後「Global IPアドレス、Globalポート番号」と、メッセージがGlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」を比較するステップと、
前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一でない場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録するステップと、
前記変換後「Global IPアドレス、Globalポート番号」と前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」が同一である場合は、前記GlobalネットワークからPrivateネットワークへ通過する際に取得した「Global IPアドレス、Globalポート番号」の組を前記データベースに登録しないステップと、
を有することを特徴とするSIP通信制御装置におけるFW制御方法。


A firewall (FW) function that performs access control based on a combination of a transmission / reception IP address of the network layer and a transmission / reception port number of the transport layer, and “Private IP address, Private port number” and “Global IP address, Global port number” In cooperation with NAT / FW devices that have NAT (Network Address Translation) function that performs conversion and reverse conversion of them,
IP address conversion function in SIP (Session Initiation Protocol) message, database managing SDP (Session Description Protocol) information, and IP address and port number used for media transmission / reception based on information registered in the database Is a FW control method in a SIP communication control device provided with a FW control function that allows only media communication of the set of the IP address and port number to pass through the FW control function by registering the set in the NAT / FW device. And
When acquiring the IP address and port number used for the media transmission / reception, the message “Global IP address and global port number” obtained when the message passes from the private network to the global network, and the message is sent from the global network to the private network. Comparing the “Global IP address, Global port number” obtained when passing to
If the "Global IP address, Global port number" after the conversion is not the same as the "Global IP address, Global port number" obtained when passing from the Global network to the Private network, the Global network passes to the Private network. Registering a set of “Global IP address, Global port number” acquired at the time in the database;
If the “Global IP address, Global port number” after the conversion is the same as the “Global IP address, Global port number” obtained when passing from the Global network to the Private network, the Global network passes to the Private network. Not registering the set of “Global IP address, Global port number” acquired in the process in the database;
A FW control method in a SIP communication control device, comprising:


JP2004199275A 2004-07-06 2004-07-06 SIP communication control apparatus for performing FW control and FW control method thereof Expired - Fee Related JP4372629B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004199275A JP4372629B2 (en) 2004-07-06 2004-07-06 SIP communication control apparatus for performing FW control and FW control method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004199275A JP4372629B2 (en) 2004-07-06 2004-07-06 SIP communication control apparatus for performing FW control and FW control method thereof

Publications (2)

Publication Number Publication Date
JP2006025002A true JP2006025002A (en) 2006-01-26
JP4372629B2 JP4372629B2 (en) 2009-11-25

Family

ID=35797989

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004199275A Expired - Fee Related JP4372629B2 (en) 2004-07-06 2004-07-06 SIP communication control apparatus for performing FW control and FW control method thereof

Country Status (1)

Country Link
JP (1) JP4372629B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007300523A (en) * 2006-05-02 2007-11-15 Ntt Resonant Inc Communication controller and communication control method
JP2008187686A (en) * 2007-01-31 2008-08-14 Nippon Telegr & Teleph Corp <Ntt> Tunnel communication system, control device, and tunnel communication apparatus
JP7067815B1 (en) 2021-01-15 2022-05-16 Necプラットフォームズ株式会社 Security equipment, methods, and control programs

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007300523A (en) * 2006-05-02 2007-11-15 Ntt Resonant Inc Communication controller and communication control method
JP2008187686A (en) * 2007-01-31 2008-08-14 Nippon Telegr & Teleph Corp <Ntt> Tunnel communication system, control device, and tunnel communication apparatus
JP4555311B2 (en) * 2007-01-31 2010-09-29 日本電信電話株式会社 Tunnel communication system, control device, and tunnel communication device
JP7067815B1 (en) 2021-01-15 2022-05-16 Necプラットフォームズ株式会社 Security equipment, methods, and control programs
WO2022153621A1 (en) * 2021-01-15 2022-07-21 Necプラットフォームズ株式会社 Security apparatus, method, and non-transitory computer-readable medium
JP2022109451A (en) * 2021-01-15 2022-07-28 Necプラットフォームズ株式会社 Security apparatus, method, and control program

Also Published As

Publication number Publication date
JP4372629B2 (en) 2009-11-25

Similar Documents

Publication Publication Date Title
EP2833597B1 (en) Apparatus and method for communications involving a legacy device
US10798138B2 (en) Instant calling method, apparatus and system
US7443842B2 (en) Communication control apparatus
JP2007049415A (en) Voice data conversion apparatus, network system, and control method and program
US20130007291A1 (en) MEDIA INTERWORKING IN IPv4 AND IPv6 SYSTEMS
JP2007124486A (en) Communication control method
US10033454B2 (en) Communication path control device, communication path control system, communication path control method and communication path control program
JP4266188B2 (en) COMMUNICATION SYSTEM, COMMUNICATION TERMINAL DEVICE USED IN THIS COMMUNICATION SYSTEM, AND COMMUNICATION METHOD USED IN COMMUNICATION SYSTEM
CN105516176A (en) Call center system, communication connection method and device of call center system
US8374178B2 (en) Apparatus and method for supporting NAT traversal in voice over internet protocol system
US20080318556A1 (en) Ip based lawful interception on legacy equipment
JP2023540063A (en) Methods, systems and computer-readable media for routing packets for lawful interception
JP6048129B2 (en) Communication system, apparatus, method, and program
JP4372629B2 (en) SIP communication control apparatus for performing FW control and FW control method thereof
US20100329242A1 (en) Server apparatus and speech connection method
JP4711109B2 (en) Communication data monitoring system and method
JP2007174191A (en) Connection control method and apparatus, and program
CN105491180B (en) Method for realizing network communication through back-to-back agent
JP2010219580A (en) Communication repeater, communication terminal and communication method
JP4555005B2 (en) Protocol conversion server
JP6780978B2 (en) Information record control device and information record control method
JP5114001B2 (en) Session establishment method, session relay system, control device and router used therefor, program
JP2007318707A (en) Interconnection technique of ip communication
JP2009194618A (en) Session controller and session control method
JP4381190B2 (en) Registration of terminal identification from external network to server on intranet via DMZ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060713

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080725

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081118

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090901

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090902

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130911

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees